Информация о Group-IB TDS

Версия от 18:36, 4 июня 2019; Fesenko (обсуждение | вклад)
(разн.) ← Предыдущая | Текущая версия (разн.) | Следующая → (разн.)

Banner.png

Общая информация

Group-IB Threat Detection System (TDS) - комплексное решение предназначено для выявления современных высокотехнологичных атак на ранней стадии. Оно определяет заражения, которые пропускают стандартные средства защиты: антивирусы, межсетевые экраны, системы предотвращения вторжений. Применение TDS существенно снижает риски организации, помогая вовремя выявить и предотвратить хищения, финансовые мошенничества, попытки шпионажа, утечку конфиденциальной информации и другие инциденты. Решение TDS разработано российской компанией Group-IB и является частью системы раннего предупреждения киберугроз, построенной на общей технологической платформе Threat Intelligence. В нем используются эксклюзивные данные киберразведки о действиях злоумышленников, в том числе информация о появлении новых вредоносных программ и адресов командных центров, изменениях известных вирусов, смене тактики атак. В настоящее время решение используют более 200 финансовых, промышленных и государственных организаций. Для выявления угроз используются следующие технические подходы:

  • Сигнатурный анализ трафика с использованием собственных уникальных сигнатур;
  • Выявление сетевых аномалий методами машинного обучения;
  • Поведенческий анализ файлов, поступающих в организацию по каналам связи.

Технологии, используемые при разработке TDS , позволяют эффективно детектировать все ключевые типы угроз, распространяемые и управляемые через компьютерные сети:

  • Банковские и мобильные трояны;
  • Вредоносное ПО, используемое для осуществления целевых атак в регионе РФ и стран СНГ;
  • Средства скрытого удаленного управления;
  • Эксплоиты для браузеров и плагинов;
  • DDoS- и спам-боты;
  • Эксплуатацию уязвимостей в сетевых сервисах и приложениях.


Архитектура

Архитектурно решение состоит из следующих модулей:

  • TDS Sensor

Сенсор предназначен для анализа входящих и исходящих пакетов данных. Он позволяет выявить взаимодействие зараженных устройств с командными центрами злоумышленников, общие сетевые аномалии и необычное поведение устройств. Для работы сенсор использует собственные сигнатуры и поведенческие правила.

Особенности системы:

  • Постоянно обновляемые базы – информация из киберразведки и системы криминалистики
  • Единый интерфейс с тикет-системой
  • Интеграция с почтой/icap
  • Анализ трафика до 20 Gb/s
  • Возможность виртуальной установки/HW Appliance
  • Интеграция с SIEM и другими системами


Размеры и другие базовые свойства устройств из продуктовой линейки TDS Sensor приведены в таблице 1.

TDS-250 TDS-1000 TDS-5000
Форм-фактор 1U 1U 1U
Размеры (ВхШхГ), мм 42,4х434х394,3 42,4х434х394,3 42,8х482,4х607
Питание 1 x 250W 1 x 250W 2 x 550W
Сетевые интерфейсы для приема трафика 1 x 1000BASE-T 4 x 1000BASE-T и/или SFP 4 x 1000BASE-T и/или SFP
Пиковая производительность, Мбит/сек 250 1000 5000

Таблица 1. Параметры оборудования TDS Sensor.


  • TDS Polygon

Данная система предназначена для поведенческого анализа подозрительных объектов в безопасной среде. Полученные по электронной почте или скачанные из интернета файлы проверяются до попадания на компьютеры пользователей. Применение технологий машинного обучения позволяет выявить ранее неизвестные вредоносные программы без использования сигнатур, а также блокировать их доставку пользователям.

Особенности системы:

  • Запатентованная технология обнаружения обхода песочницы
  • Эмуляция действий пользователей
  • Специально подготовленные образы для обнаружения 0-Day уязвимостей и различного вида ВПО (вредоносного программного обеспечения).
  • Анализ файлов с измененными расширениями
  • Запатентованный низкоуровневый монитор, выявляющий все возможные действия в том числе и выполнение кода на уровне CPU.
  • Дешифровка запароленных архивов с паролем в теле письма/вложенном файле/по словарю.
  • Ретроспективный анализ


Размеры и другие базовые свойства устройств из продуктовой линейки TDS Polygon приведены в таблице 2.

TDS Polygon Cloud TDS Polygon Standard TDS Polygon Enterprise
Форм-фактор Cloud 1U 1U
Размеры (ВхШхГ), мм  -  42,8x482,4x607 42,8x482,4x607
Питание  -  2 x 550W 2 x 550W
Пиковая производительность, Файлов/день  -  7000 18000

Таблица 2. Параметры оборудования TDS Polygon.


  • Центр управления, мониторинга, хранения событий и обновления

Специалисты Центра управления мониторинга Group-IB (TDS-SOC) отслеживают и анализируют события, выявленные TDS Sensor и TDS Polygon. Эксперты TDS-SOC немедленно уведомляют специалистов организации о критичных угрозах по электронной почте и телефону, а также дают рекомендации по их устранению. Поддержка работает круглосуточно, 365 дней в году. По умолчанию используется TDS-SOC Group-IB. Центр Управления также может быть развернут внутри сети заказчика.

Интеграция с сетевым трафиком

Система обеспечивает анализ трафика, подаваемого на оборудование TDS Sensor из разных источников:

  • SPAN/RSPAN трафик
  • SPAN/RSPAN траффик в GRE-туннеле
  • ICAP (файлы из трафика)

При интеграции по ICAP возможно настроить режим блокировки - вредоносные вложения не будут доступны для загрузки пользователям.

Интеграция с почтовой системой

Поддерживаются несколько различных способов получения писем для поведенческого анализа:

  • Получение писем по SMTP
  • Получение писем с помощью механизма скрытой копии (BCC) через POP3/IMAP

Поддерживается возможность блокировки вредоносных писем посредством интеграции TDS Sensor в режиме MTA (Mail Transfer Agent). Внутренний MTA режим обеспечивает возможность настройки почтовой инфраструктуры любой сложности - с любым количеством почтовых серверов и настройкой различных правил пересылки. При этом обеспечивается отказоустойчивость и балансировка нагрузки.

Типовые схемы подключения

Режим анализа копии трафика и файлов из трафика

Span.png

В этом режиме TDS Polygon осуществляет пассивный мониторинг файлов из трафика. Объекты анализа поступают от TDS Sensor и отправляются в облако TDS Polygon Cloud.

Режим анализа копии трафика и файлов из трафика в GRE туннеле

SPANinGRE.png

TDS Sensor поддерживает возможность организовывать GRE-туннели. Когда нет возможности напрямую подать SPAN/RSPAN, поскольку между сенсором и зеркалирующим оборудованием находится L3 оборудование, либо необходимо получить трафик с фермы виртуальных машин, можно использовать GRE-инкапсуляцию, для передачи SPAN трафика в TDS.

Режим анализа почты

Поддерживаются несколько различных способов получения писем для поведенческого анализа:

  • Получение писем по SMTP.
  • Получение писем с помощью механизма скрытой копии (BCC)

Получение писем по SMTP

При данной интеграции TDS Sensor выступает как MTA (или SMTP Relay), получаю копию всей входящей почты через SMTP. Единственное отличие этого режима, от режима с блокировкой, что письма тут не пересылаются дальше, а просто анализируются.

SMTP-copy.jpg

Схема 3: TDS Sensor + TDS Polygon — анализ копии трафика, копии почты и файлов из канала связи.

Получение писем с помощью механизма скрытой копии (BCC)

При данной интеграции создаётся дополнительный почтовый ящик, куда осуществляется копирование всей входящей почты. TDS Sensor подключается к подготовленному ящику и забирает письма для анализа.

Photo 2018-03-21 13-25-07.png

Схема 2: TDS Sensor + TDS Polygon — анализ копии трафика, копии почты и файлов из канала связи.


Получение писем по SMTP с блокировкой (inline-режим)

Основной режим интеграции с почтой, когда почта проходит через TDS Sensor как через SMTP Relay, и доставляется дальше после анализа. Соответственно вредоносные письма блокируются. Отказоустойчивость обеспечивается либо на уровне DNS, либо на уровне SMTP-сервера, где настраивается несколько релеев, либо на уровне VRRP, когда несколько устройств делят виртуальный IP адрес.

Inline.png

Схема 4: TDS Sensor + TDS Polygon — анализ почты с блокировкой вредоносных объектов.


Для получения более подробной информации о TDS перейдите на главную страницу (требуется авторизация). По вопросам авторизации пожалуйста, обращайтесь к нам по адресу:

info@group-ib.ru.